Descripción general de MTA-STS
Bienvenido a la documentación de MTA-STS. Utilice la barra lateral o los enlaces a continuación para navegar:
¿Qué es MTA-STS?
MTA-STS es un protocolo de seguridad que permite a los servidores de correo electrónico aplicar cifrado de Transport Layer Security (TLS) y validación de certificados al enviar correos electrónicos a otros servidores que admiten el protocolo. MTA-STS significa Mail Transfer Agent Strict Transport Security over TLS y está definido en RFC 8461.
¿Cómo funciona MTA-STS?
MTA-STS funciona permitiendo a los servidores de correo electrónico publicar una política que especifica cómo otros servidores deben conectarse a ellos. La política incluye la siguiente información:
- La duración de la validez de la política
- Si el cifrado TLS es obligatorio u opcional
- Si el certificado del servidor debe coincidir con el nombre de dominio o estar firmado por una autoridad de confianza
- Cómo informar cualquier fallo de conexión o violación de la política
La política se publica de dos maneras: como un registro DNS TXT y como un archivo alojado en un servidor web. El registro DNS TXT contiene un puntero al servidor web donde se encuentra el archivo de política. El archivo de política se llama .well-known/mta-sts.txt y está formateado como un archivo de texto plano con pares clave-valor.
Cuando un servidor de correo electrónico quiere enviar un correo a otro servidor que admite MTA-STS, primero consulta el registro DNS TXT del dominio del destinatario para verificar si hay una política disponible. Si la hay, luego obtiene el archivo de política del servidor web y sigue las instrucciones en la política. Si la política requiere cifrado TLS y validación de certificados, el servidor de correo electrónico solo entregará el correo si puede establecer una conexión segura y autenticada con el servidor destinatario. Si la política es opcional, el servidor de correo electrónico intentará usar cifrado TLS y validación de certificados, pero recurrirá a una conexión de texto plano si falla. Si la política no está disponible o ha expirado, el servidor de correo electrónico usará su configuración predeterminada para la entrega de correos electrónicos.
Configuración de MTA-STS max-age
La directiva max_age en la política de MTA-STS especifica la vida útil máxima de la política en segundos. Aquí hay algunos puntos clave sobre ella:
- Valores aceptados: Cualquier entero positivo hasta 31,557,600 segundos (que equivale a un año).
- Ejemplo: Puede establecer
max_ageen 604,800 segundos (que es una semana).
El propósito de max_age es determinar cuánto tiempo los servidores deben almacenar en caché su política de MTA-STS antes de verificar una nueva. Google, por ejemplo, procesa políticas con un max_age superior a 86,400 segundos (un día). El valor máximo para max_age es 31,557,600 segundos.
Elegir un valor max_age apropiado es crucial. Aquí hay algunas consideraciones:
- max_age más corto:
- Permite una eliminación o cambios más fáciles de MTA-STS si surgen problemas de interoperabilidad.
- Útil para grandes integradores que aún no admiten MTA-STS pero planean hacerlo en el futuro.
- max_age más largo:
- Reduce la frecuencia de las verificaciones de políticas.
- Proporciona un mejor rendimiento al minimizar la necesidad de actualizaciones frecuentes de políticas.
- Sin embargo, también significa que cualquier cambio necesario en la política tarda más en propagarse.
Cómo funciona MTA-STS con DMARC
MTA-STS y DMARC se complementan entre sí para mejorar la seguridad y privacidad de la comunicación por correo electrónico. MTA-STS protege la conexión entre servidores de correo electrónico de la interceptación y modificación, mientras que DMARC protege el contenido y encabezado del correo electrónico de la suplantación de identidad y phishing. Al usar ambos protocolos, los servidores de correo electrónico y los usuarios pueden lograr un mayor nivel de confianza y seguridad en su comunicación por correo electrónico.
¿Por qué es importante MTA-STS?
MTA-STS es importante porque mejora la seguridad y privacidad de la comunicación por correo electrónico. Al aplicar cifrado TLS y validación de certificados, MTA-STS evita que los atacantes intercepten, modifiquen o suplanten correos electrónicos en tránsito.
Esto reduce el riesgo de phishing, malware, spam y robo de identidad. MTA-STS también ayuda a los servidores de correo electrónico a cumplir con los estándares y regulaciones de seguridad de su industria o región.
Limitaciones de MTA-STS
MTA-STS tiene algunas limitaciones que los servidores de correo electrónico y los usuarios deben tener en cuenta. Algunas de ellas son:
- Alcance: MTA-STS solo se aplica a la conexión entre servidores de correo electrónico, no entre clientes de correo electrónico y servidores. Por lo tanto, los clientes de correo electrónico y los usuarios aún necesitan usar otras medidas de seguridad, como el cifrado de extremo a extremo, para proteger sus correos electrónicos de accesos no autorizados o manipulaciones.
- Dependencia de DNS y servidores web: MTA-STS depende de la disponibilidad e integridad de los servidores DNS y web que alojan la política. Si estos servidores están comprometidos, fuera de línea o mal configurados, la política puede no estar accesible o ser precisa, y la entrega de correos electrónicos puede verse afectada.
- Aplicación de políticas: MTA-STS no impide que los servidores de correo electrónico acepten o envíen correos electrónicos que no cumplan con la política. Por ejemplo, un servidor de correo electrónico puede aceptar un correo de un remitente que no use cifrado TLS o validación de certificados, o puede enviar un correo a un destinatario que no admita MTA-STS. Por lo tanto, los servidores de correo electrónico y los usuarios aún necesitan usar otros mecanismos de seguridad, como SPF, DKIM y DMARC, para verificar la identidad y autenticidad de los remitentes y destinatarios de correos electrónicos.
Temas relacionados
- Configuración de dominio TLS-RPT - Configurar configuraciones de TLS-RPT/MTA-STS